
Hvad er Datatilsynets vigtigste opgave, når det gælder sikkerhedshuller: at lukke dem eller at efterforske dem?
Det spørgsmål er blevet relevant, efter at online-terapiportalen GoMentor blev afsløret i at have en alvorlig sikkerhedsbrist, der rodede flere brugeres dybt personlige data sammen.
Det var brugeren Ann Pettersson, der i august opdagede sikkerhedshullet og anmeldte det til Datatilsynet.
Datatilsynet valgte at holde tæt med oplysningen om hullet, så de kunne fokusere på at sikre beviser til brug i en eventuel sag mod GoMentor.
Derfor havde Ann Pettersson adgang til at læse intime beskrivelser af fire andre brugeres mentale helbred helt frem til fredag den 23. november, hvor GoMentor lukkede hullet - ikke efter påbud fra Datatilsynet, men efter et opkald fra en journalist.
Datatilsynet forklarede beslutningen med, at det ville »spolere efterforskningen«, hvis tilsynet fortalte GoMentor, at der var et stort sikkerhedsbrud på deres hjemmeside.
Men den køber it-ordfører Karin Gaardsted fra Socialdemokratiet ikke. Hun er rystet over, at Datatilsynet bevidst har ladet sikkerhedshullet stå åbent i tre måneder.
»Der er kun én ting, der er vigtig, og det er at få det her hul lukket så hurtigt som overhovedet muligt,« siger hun til Version2.
Dage, ikke uger
Karin Gaardsted vil nu spørge justitsminister Søren Pape Poulsen (K), om det er normalt, at Datatilsynet håndterer sager på samme måde, som de har gjort i GoMentor-sagen.
»Jeg vil spørge, om det er med ministerens viden, at Datatilsynet vælger at lade en fejl bestå, som betyder, at folks dybt personlige oplysninger ligger tilgængelige for andre,« siger hun.
Version2 påpeger, at det sandsynligvis kun er fem mennesker, der har haft adgang til hinandens data, og at det nok er endnu færre, der har kendt til sikkerhedshullet - så hvor alvorligt kan det være?
Men den præmis afviser Karin Gaardsted. For hvis man ser småt på det her, vil man også se småt på det næste, pointerer hun.
»Vi bliver nødt til at sætte foden ned, når det handler om folks nærmest intime, personlige oplysninger, så vi er helt sikre på, at vi fra myndighedernes side gør alt, hvad vi kan, for at sikre, at det her ikke sker - og hvis vi opdager det, så bliver der grebet ind med det samme,« siger hun og understreger, at det ikke kan passe, at Datatilsynet skal bruge tre måneder på at indsamle beviser i den her sag.
Men hvor lang tid bør Datatilsynet egentlig få til at indsamle beviser? Det er svært at svare på, siger Karin Gaardsted, men:
»Det handler om dage, ikke uger,« siger hun.
Flere af vores læsere påpeger, at Datatilsynet måske ikke har nok ressourcer til at udføre deres opgaver - særligt efter GDPR. Hvad siger du til det?
»Det kan også sagtens være. Netop GDPR og mange opstramninger kan betyde, at der kan være behov for mere personale i Datatilsynet,« siger hun og tilføjer:
»Men det betyder ikke, at Datatilsynet bare kan lade ting sejle, som de har gjort i den her sammenhæng.«